深入WindowsServer2008的自我監(jiān)控

為了親身體驗(yàn)Windows Server 2008系統(tǒng)與眾不同的試用感覺(jué)，相信很多用戶創(chuàng)建條件、強(qiáng)行為自己的計(jì)算機(jī)升級(jí)安裝了該系統(tǒng)。盡管該系統(tǒng)的運(yùn)行穩(wěn)定性以及安全防范性能得到了顯著提升，不過(guò)在Internet網(wǎng)絡(luò)病毒與木馬瘋狂肆虐的今天，Windows Server 2008系統(tǒng)仍然還會(huì)時(shí)刻受到各式各樣的安全威脅，比方說(shuō)核心共享內(nèi)容被遠(yuǎn)程修改、系統(tǒng)被非法入侵等，事實(shí)上不少安全威脅在真正發(fā)生之前都存在一些征兆現(xiàn)象，如果我們能夠及時(shí)監(jiān)控到這些可疑跡象，那么就能將安全隱患消除掉，那么我們?cè)摬扇∈裁创胧﹣?lái)自動(dòng)監(jiān)控Windows Server 2008系統(tǒng)的可疑事件呢?這樣的任務(wù)在Windows Server 2008系統(tǒng)下很簡(jiǎn)單就能做到，因?yàn)樵撓到y(tǒng)新增加了“任務(wù)附加到事件”功能，我們可以深入挖掘該功能，來(lái)實(shí)現(xiàn)Windows Server 2008系統(tǒng)自我監(jiān)控的目的!
    自我監(jiān)控思路
    大家知道，每一個(gè)Windows系統(tǒng)都自帶了事件查看器程序，不過(guò)與傳統(tǒng)操作系統(tǒng)不一樣的是，Windows Server 2008系統(tǒng)將常用的任務(wù)計(jì)劃功能整合到事件查看器程序中了，有了這項(xiàng)功能的支持，我們可以在服務(wù)器系統(tǒng)中針對(duì)一些特殊系統(tǒng)事件附加任務(wù)計(jì)劃，讓該運(yùn)行任務(wù)在特殊系統(tǒng)事件發(fā)生的那一刻及時(shí)提醒我們;當(dāng)Windows Server 2008系統(tǒng)中的需要被監(jiān)控的系統(tǒng)事件真正發(fā)生時(shí)，附加在該系統(tǒng)事件上的特定任務(wù)計(jì)劃就能被自動(dòng)觸發(fā)，到時(shí)它就能根據(jù)事先設(shè)置好的方式來(lái)提醒我們采取應(yīng)對(duì)措施了，這樣一來(lái)就能實(shí)現(xiàn)不用外力工具，Windows Server 2008系統(tǒng)就能完成自我監(jiān)控的任務(wù)了。
    依照上述思路，我們只要先在Windows Server 2008系統(tǒng)中對(duì)需要監(jiān)控的系統(tǒng)事件啟用審核功能，確保系統(tǒng)的事件查看器程序能夠自動(dòng)跟蹤、記憶目標(biāo)系統(tǒng)事件，接著人為創(chuàng)建一個(gè)特殊系統(tǒng)事件，讓事件查看器程序自動(dòng)生成這個(gè)事件記錄，例如我們簡(jiǎn)單地注銷系統(tǒng)并重新登錄一次，那么Windows Server 2008系統(tǒng)的事件查看器程序就能自動(dòng)把這個(gè)系統(tǒng)登錄事件記憶保存下來(lái)，有了具體的事件記錄后，下面我們就能利用“任務(wù)附加到事件”功能，將自動(dòng)監(jiān)控報(bào)警信息通過(guò)任務(wù)計(jì)劃的方式附加到具體的事件記錄上，日后當(dāng)相同的系統(tǒng)再次發(fā)生時(shí)，附加的任務(wù)計(jì)劃就能被自動(dòng)觸發(fā)，到時(shí)我們就能及時(shí)收到附加任務(wù)計(jì)劃發(fā)送出來(lái)的報(bào)警信息了，看到報(bào)警信息后，我們要做的工作就是及時(shí)采取安全應(yīng)對(duì)措施，防范這類有安全威脅的系統(tǒng)事件再次發(fā)生，那樣一來(lái)Windows Server 2008系統(tǒng)的安全性在某種程度上又得到了更進(jìn)一步地強(qiáng)化。為方便敘述，本文就以自動(dòng)監(jiān)控系統(tǒng)登錄事件為例，讓W(xué)indows Server 2008系統(tǒng)對(duì)那些偷偷登錄系統(tǒng)的非法行為進(jìn)行自動(dòng)監(jiān)控，謹(jǐn)防惡意攻擊者暗地里攻擊Windows Server 2008系統(tǒng)。
    審核待監(jiān)控事件
    Windows Server 2008系統(tǒng)內(nèi)置的事件查看器程序在默認(rèn)狀態(tài)下，不會(huì)對(duì)類似系統(tǒng)登錄這樣的事件進(jìn)行跟蹤記錄的，也就是說(shuō)平時(shí)我們登錄系統(tǒng)時(shí)，事件查看器程序并沒(méi)有這方面的事件記錄，要想對(duì)系統(tǒng)登錄這樣的事件進(jìn)行監(jiān)控，我們首先要做的工作自然就是為待監(jiān)控事件啟用審核功能，讓事件查看器程序可以自動(dòng)記憶保存這些事件記錄。在審核待監(jiān)控事件時(shí)，我們可以按照下面的操作來(lái)進(jìn)行：
    首先打開(kāi)Windows Server 2008系統(tǒng)的“開(kāi)始”菜單，從中逐一點(diǎn)擊“設(shè)置”、“控制面板”選項(xiàng)，打開(kāi)對(duì)應(yīng)系統(tǒng)的控制面板窗口，再用鼠標(biāo)雙擊該窗口中的“管理工具”圖標(biāo)選項(xiàng)，進(jìn)入Windows Server 2008系統(tǒng)的管理工具列表界面;
    其次雙擊管理工具列表界面中的“本地安全策略”圖標(biāo)選項(xiàng)，在其后出現(xiàn)的本地安全策略編輯器界面中，依次展開(kāi)左側(cè)子窗格區(qū)域中的“安全設(shè)置”/“ 本地策略”/“審核策略”分支選項(xiàng)，在“審核策略”分支選項(xiàng)下面，選中“審核登錄事件”選項(xiàng)，并用鼠標(biāo)右鍵單擊該選項(xiàng)，從彈出的快捷菜單中執(zhí)行“屬性”命令進(jìn)入的審核登錄事件屬性設(shè)置對(duì)話框;
    下面同時(shí)將該設(shè)置對(duì)話框中的“成功”、“失敗”復(fù)選項(xiàng)都選中，再單擊“確定”按鈕保存好上述設(shè)置操作，如此一來(lái)日后任何一位用戶無(wú)論有沒(méi)有成功登錄進(jìn) Windows Server 2008系統(tǒng)，對(duì)應(yīng)系統(tǒng)的事件查看器程序都會(huì)自動(dòng)把這次系統(tǒng)登錄事件記錄保存到事件查看器列表中，仔細(xì)查看這些記錄，我們就能大概判斷出當(dāng)前服務(wù)器系統(tǒng)中是否存在非法登錄事件發(fā)生了。
    手工生成目標(biāo)事件
    考慮到任務(wù)計(jì)劃只能與具體的某件事件綁定在一起，為此要想利用任務(wù)計(jì)劃功能對(duì)目標(biāo)系統(tǒng)事件進(jìn)行自動(dòng)監(jiān)控報(bào)警，我們還需要手工創(chuàng)建一個(gè)與待監(jiān)控事件性質(zhì)一樣的具體事件記錄;例如，要手工生成系統(tǒng)登錄事件記錄時(shí)，我們只要在Windows Server 2008服務(wù)器系統(tǒng)桌面中依次單擊“開(kāi)始”/“關(guān)機(jī)”選項(xiàng)，選中“待機(jī)”項(xiàng)目，單擊“確定”按鈕，將當(dāng)前系統(tǒng)注銷掉，之后重新以系統(tǒng)管理員賬號(hào)登錄一次 Windows Server 2008服務(wù)器系統(tǒng)，當(dāng)系統(tǒng)登錄操作成功后，對(duì)應(yīng)系統(tǒng)的事件查看器程序就會(huì)自動(dòng)將這次登錄操作記錄下來(lái)了。
    在查看具體的事件記錄時(shí)，我們可以在Windows Server 2008服務(wù)器系統(tǒng)桌面中用鼠標(biāo)右鍵單擊“計(jì)算機(jī)”圖標(biāo)，從彈出的快捷菜單中點(diǎn)選“管理”命令，打開(kāi)對(duì)應(yīng)系統(tǒng)的計(jì)算機(jī)管理控制臺(tái)界面;
    其次在該管理控制臺(tái)界面的左側(cè)顯示區(qū)域，用鼠標(biāo)依次展開(kāi)“診斷”/“事件查看器”/“Windows日志”/“安全”分支選項(xiàng)，在對(duì)應(yīng)“安全”分支選項(xiàng)的右側(cè)顯示區(qū)域，我們會(huì)看到事件ID為4625的系統(tǒng)登錄事件記錄，用鼠標(biāo)雙擊該事件記錄，打開(kāi)目標(biāo)事件屬性設(shè)置窗口，在該窗口的“常規(guī)”標(biāo)簽頁(yè)面中，我們發(fā)現(xiàn)系統(tǒng)自動(dòng)生成了賬戶登錄失敗事件，并且還能查看到究竟是哪一個(gè)用戶在哪一臺(tái)工作站上嘗試對(duì)本地Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行登錄操作的，仔細(xì)分析這些信號(hào)，我們或許就能大概判斷出當(dāng)前是否有非法攻擊者在偷偷登錄本地服務(wù)器系統(tǒng)了。
    附加監(jiān)控報(bào)警任務(wù)
    由于我們現(xiàn)在是要對(duì)系統(tǒng)登錄事件進(jìn)行自動(dòng)監(jiān)控，為此我們下面需要把監(jiān)控報(bào)警任務(wù)附加到系統(tǒng)登錄事件上，以確保Windows Server 2008服務(wù)器系統(tǒng)下次再次發(fā)生相同的事件時(shí)，被附加的指定任務(wù)能夠自動(dòng)觸發(fā)運(yùn)行，以便及時(shí)向我們發(fā)送報(bào)警提示信息，從而實(shí)現(xiàn)自動(dòng)監(jiān)控目的。在附加監(jiān)控報(bào)警任務(wù)到系統(tǒng)登錄事件時(shí)，我們可以按照下面的操作來(lái)進(jìn)行：
    首先按照前面的操作步驟，打開(kāi)Windows Server 2008服務(wù)器系統(tǒng)的事件查看器程序，打開(kāi)我們希望監(jiān)視的安全事件日志，找到前面自動(dòng)生成的相應(yīng)事件記錄，用鼠標(biāo)右鍵點(diǎn)選該系統(tǒng)登錄事件，從彈出的快捷菜單中執(zhí)行“將任務(wù)附加到此事件”命令，當(dāng)然也可以從右側(cè)操作列表區(qū)域中點(diǎn)選“將任務(wù)附加到此事件”選項(xiàng);
    其次系統(tǒng)屏幕上將會(huì)自動(dòng)出現(xiàn)一個(gè)向?qū)崾敬翱?，我們可以為?dāng)前這個(gè)任務(wù)設(shè)置一個(gè)有針對(duì)性的名字和描述性文字，例如這里筆者將該任務(wù)計(jì)劃的名稱定為“自動(dòng)監(jiān)控報(bào)警”，之后單擊該窗口中的“下一步”按鈕，隨后系統(tǒng)屏幕上會(huì)彈出一些提示說(shuō)明文字，根據(jù)這些說(shuō)明文字我們可以確認(rèn)這些內(nèi)容的準(zhǔn)確性，如果看到這些內(nèi)容都正確無(wú)誤時(shí)，繼續(xù)單擊向?qū)Т翱谥械摹跋乱徊健卑粹o;
    這時(shí)系統(tǒng)屏幕上會(huì)出現(xiàn)一個(gè)設(shè)置窗口，在這里我們可以選擇使用不同的報(bào)警提示方式，例如可以選用顯示消息、發(fā)送電子郵件或啟動(dòng)程序，要是我們選用了“啟動(dòng)程序”提示方式時(shí)，點(diǎn)選“下一步”按鈕后，會(huì)自動(dòng)看到選擇程序?qū)υ捒颍瑔螕羝渲械摹盀g覽”按鈕，再查找和選擇任何可執(zhí)行文件、批處理文件或腳本，當(dāng)然我們也可以直接輸入目標(biāo)應(yīng)用程序的啟動(dòng)路徑，最后單擊“完成”按鈕結(jié)束任務(wù)計(jì)劃的附加操作;
    要是我們選用了“發(fā)送電子郵件”提示方式時(shí)，點(diǎn)選“下一步”按鈕后，我們會(huì)自動(dòng)看到一個(gè)發(fā)送電子郵件編輯對(duì)話框，在這里我們需要正確地添加任何需要的報(bào)警內(nèi)容，比方說(shuō)發(fā)信人、收信人、郵件主題、報(bào)警內(nèi)容等，甚至我們還能直接將報(bào)警內(nèi)容以附件文件形式添加到郵件當(dāng)中，最后還需要設(shè)置好發(fā)送郵件所需的SMTP 服務(wù)器地址;
    要是我們選用的是“顯示消息”提示方式，那么點(diǎn)選“下一步”按鈕后，我們可以在其后的設(shè)置窗口中添加報(bào)警消息的標(biāo)題以及具體的報(bào)警內(nèi)容，這個(gè)方式其實(shí)就是新建一個(gè)告警提示窗口。當(dāng)我們?cè)跒g覽事件查看器的具體日志內(nèi)容時(shí)，或許會(huì)看到每隔一段時(shí)間系統(tǒng)會(huì)發(fā)生一個(gè)危險(xiǎn)事件，不過(guò)要是我們不及時(shí)打開(kāi)事件查看器去查看時(shí)，我們根本沒(méi)有辦法在第一時(shí)間知道該事件的發(fā)生，現(xiàn)在有了這個(gè)顯示消息提示方式，日后一旦發(fā)生同樣的危險(xiǎn)事件時(shí)，我們就能在第一時(shí)間知道并采取安全應(yīng)對(duì)措施了。
    很顯然，為了實(shí)現(xiàn)及時(shí)、自動(dòng)監(jiān)控目的，我們?cè)谶@里應(yīng)該選用“顯示消息”提示方式，之后依照屏幕提示輸入好消息標(biāo)題以及報(bào)警主題內(nèi)容，比方說(shuō)輸入“注意了，可能有非法賬號(hào)在偷偷登錄系統(tǒng)!”，最后單擊“完成”按鈕保存好上述任務(wù)計(jì)劃的創(chuàng)建操作。
    實(shí)現(xiàn)自動(dòng)監(jiān)控報(bào)警
    到了這里，Windows Server 2008系統(tǒng)就能實(shí)現(xiàn)自動(dòng)監(jiān)控報(bào)警的目的了。日后當(dāng)有非法用戶偷偷登錄Windows Server 2008系統(tǒng)時(shí)，事先附加到系統(tǒng)登錄事件上的指定報(bào)警任務(wù)就會(huì)自動(dòng)觸發(fā)運(yùn)行，而該任務(wù)運(yùn)行成功后，Windows Server 2008系統(tǒng)屏幕上會(huì)自動(dòng)出現(xiàn)“注意了，可能有非法賬號(hào)在偷偷登錄系統(tǒng)!”這樣的報(bào)警提示信息，見(jiàn)到這樣的提示信息，我們就能知道當(dāng)前有人在偷偷登錄本地服務(wù)器系統(tǒng)，此時(shí)我們應(yīng)該打開(kāi)Windows Server 2008服務(wù)器系統(tǒng)的事件查看器程序窗口，找到系統(tǒng)自動(dòng)生成下來(lái)的相應(yīng)事件記錄，用鼠標(biāo)雙擊該目標(biāo)事件，進(jìn)入該事件的具體屬性設(shè)置窗口，從中查看究竟是哪一位用戶、在哪一臺(tái)計(jì)算機(jī)上嘗試登錄操作，如果發(fā)現(xiàn)是陌生的用戶或陌生的計(jì)算機(jī)，那么我們應(yīng)該及時(shí)采取安全措施來(lái)阻止他們繼續(xù)非法登錄，以便確保 Windows Server 2008服務(wù)器系統(tǒng)的運(yùn)行安全。